Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery And Comissioning
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
          • OP.PL.1 Análisis de Riesgos
          • OP.PL.2 Arquitectura de Seguridad
          • OP.PL.3 Adquisición de nuevos componentes
          • OP.PL.4 Dimensionamiento y Gestión de Capacidades
          • OP.PL.5 Componentes Certificados
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.PL Planificación
  • OP.PL.1 Análisis de Riesgos

OP.PL.1 Análisis de Riesgos

Documentos de referencia​

Normativa y Regulación​

  • Real Decreto 311/2022 - Esquema Nacional de Seguridad
    • Artículo 5. La seguridad como un proceso integral
    • Artículo 6. Gestión de la seguridad basada en los riesgos
    • Artículo 7. Prevención, detección, respuesta y conservación
    • Artículo 27. Análisis y gestión de riesgos
    • Anexo I. Categorías de seguridad
    • Anexo II. Medidas de seguridad

Guías CCN-STIC Aplicables​

  • Serie 800 - Esquema Nacional de Seguridad:

    • CCN-STIC-803 - Valoración de sistemas en el ENS
    • CCN-STIC-804 - Guía de implantación del ENS
    • CCN-STIC-806 - Plan de adecuación del ENS
    • CCN-STIC-808 - Verificación del cumplimiento
    • CCN-STIC-815 - Métricas e indicadores ENS
    • CCN-STIC-821 - Normas de Seguridad ENS

  • Herramientas PILAR - Análisis de Riesgos:

    • CCN-STIC-470H1 - Manual PILAR. Análisis y gestión de riesgos
    • CCN-STIC-470H2 - Manual PILAR. Análisis de impacto y continuidad
    • CCN-STIC-472F - Manual PILAR BASIC
    • CCN-STIC-473E - Manual µPILAR

Metodología MAGERIT v3​

  • MAGERIT v3.0:2012 - Metodología de Análisis y Gestión de Riesgos
    • Libro I: Método
    • Libro II: Catálogo de Elementos
    • Libro III: Guía de Técnicas
    • Actualización 2023: Integración con ENS RD 311/2022

Normativa Internacional​

  • ISO/IEC 27000 Series:

    • ISO/IEC 27001:2022 - Requisitos SGSI
      • Cláusula 6.1 - Acciones para abordar riesgos y oportunidades
      • Cláusula 8.2 - Evaluación de riesgos de seguridad
      • Cláusula 8.3 - Tratamiento de riesgos
    • ISO/IEC 27005:2022 - Gestión de riesgos de seguridad
    • ISO/IEC 31000:2018 - Gestión del riesgo

  • NIST Framework:

    • NIST SP 800-30 Rev.1 - Risk Assessment Guide
    • NIST SP 800-37 Rev.2 - Risk Management Framework
    • NIST SP 800-39 - Managing Enterprise Risk
    • NIST SP 800-53 Rev.5 - Security and Privacy Controls

  • Normativa Sanitaria:

    • ISO 14971:2019 - Gestión de riesgos dispositivos médicos
    • IEC 80001-1:2021 - Gestión de riesgos redes sanitarias
    • FDA Cybersecurity Guidance 2023

Guía de implantación según CCN-STIC 806​

Principios Fundamentales (RD 311/2022, Art. 7)​

Según el artículo 7 del RD 311/2022, la gestión de riesgos debe garantizar:

  1. Prevención: Evitar o reducir al mínimo la probabilidad de materialización de amenazas
  2. Detección: Descubrir oportunamente incidentes de seguridad
  3. Respuesta: Capacidad para neutralizar o minimizar el impacto de incidentes
  4. Conservación: Mantener la información durante su ciclo de vida

Metodología de Análisis (MAGERIT v3)​

El análisis de riesgos sigue la metodología MAGERIT v3, estructurada en:

Fase 1 - Caracterización:

  • Identificación y valoración de activos
  • Determinación de dimensiones de seguridad DAICT
  • Establecimiento del alcance y límites del sistema

Fase 2 - Identificación de Amenazas:

  • Catálogo de amenazas MAGERIT
  • Análisis de frecuencia y probabilidad
  • Evaluación de vulnerabilidades

Fase 3 - Evaluación del Riesgo:

  • Cálculo del impacto potencial
  • Determinación del riesgo intrínseco
  • Priorización según criticidad

Fase 4 - Tratamiento del Riesgo:

  • Selección de salvaguardas
  • Cálculo del riesgo residual
  • Plan de tratamiento de riesgos

Requisitos Formales del Análisis​

  1. Documentación Obligatoria (CCN-STIC 806):

    • Informe de análisis de riesgos
    • Declaración de aplicabilidad
    • Plan de tratamiento de riesgos
    • Registro de riesgo residual aceptado

  2. Aprobación y Responsabilidades:

    • Responsable de la Información: Valida valoración de activos
    • Responsable del Servicio: Aprueba medidas de tratamiento
    • Responsable de Seguridad: Supervisa metodología
    • Alta Dirección: Acepta riesgo residual

  3. Periodicidad de Revisión:

    • Anual: Revisión completa del análisis
    • Semestral: Actualización de amenazas
    • Continua: Ante cambios significativos
    • Inmediata: Tras incidentes de seguridad

Integración con el Ciclo de Vida del Sistema​

El análisis de riesgos debe realizarse en:

  • Fase de Diseño: Requisitos de seguridad y arquitectura
  • Fase de Desarrollo: Validación de controles
  • Fase de Operación: Monitorización y ajuste
  • Fase de Retirada: Gestión segura del decomisionado

Implementación en Legit Health Plus​

Metodología de Análisis de Riesgos según CCN-STIC 806​

Marco de Gestión Integrado ENS-MDR​

Legit Health Plus implementa un sistema de gestión de riesgos que cumple simultáneamente con:

Marco Regulatorio Nacional:

  • RD 311/2022 - Esquema Nacional de Seguridad
  • CCN-STIC 806 - Plan de adecuación del ENS
  • MAGERIT v3.0 - Metodología nacional de análisis de riesgos

Marco Regulatorio Sanitario:

  • ISO 14971:2019 - Gestión de riesgos para dispositivos médicos
  • ISO 62366-1:2015 - Ingeniería de usabilidad
  • FDA Cybersecurity Guidance 2023 - Ciberseguridad dispositivos médicos
  • EU MDR 2017/745 - Reglamento de productos sanitarios

Documentación del Sistema:

  • R-TF-013-002 - Registro unificado de análisis de riesgos
  • T-024-006 - Modelo de amenazas STRIDE/MAGERIT
  • T-024-009 - Arquitectura de seguridad ENS
  • T-110-003 - Matriz de cumplimiento ENS

Dimensiones de Seguridad DAICT (RD 311/2022)​

Conforme al Anexo I del RD 311/2022, se evalúan las cinco dimensiones:

DimensiónSiglaDefinición ENSNivel Legit Health
Disponibilidad[D]Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizadaMEDIO
Autenticidad[A]Propiedad que garantiza que una entidad es quien dice ser o que garantiza la fuente de la que proceden los datosALTO
Integridad[I]Propiedad de la información de mantenerse completa e inalteradaALTO
Confidencialidad[C]Propiedad de la información de no ponerse a disposición ni revelarse a individuos, entidades o procesos no autorizadosMEDIO
Trazabilidad[T]Propiedad que garantiza que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidadALTO

Categorización del Sistema (CCN-STIC 803)​

Según la valoración DAICT y siguiendo CCN-STIC 803:

Categoría del Sistema: MEDIA

  • Dimensiones en nivel ALTO: Autenticidad, Integridad, Trazabilidad
  • Dimensiones en nivel MEDIO: Disponibilidad, Confidencialidad
  • Aplicación de medidas del Anexo II con refuerzo en dimensiones ALTO

Proceso de Análisis de Riesgos MAGERIT v3​

Identificación y Valoración de Activos (MAGERIT Libro II)​

Siguiendo el catálogo de elementos de MAGERIT v3:

[D] Datos / Información:

CódigoActivoValoración DAICTCriticidad
[D.vr]Datos vitales (historiales clínicos)D:4 A:5 I:5 C:4 T:5MUY ALTA
[D.per]Datos personales (información pacientes)D:3 A:4 I:4 C:5 T:4ALTA
[D.int]Datos de gestión internaD:2 A:3 I:3 C:3 T:3MEDIA
[D.com]Datos comerciales (algoritmos IA)D:3 A:4 I:5 C:5 T:3MUY ALTA
[D.log]Registros de actividadD:2 A:5 I:5 C:2 T:5ALTA

[S] Servicios:

CódigoServicioValoración DAICTCriticidad
[S.www]Portal web médicoD:3 A:4 I:4 C:3 T:4ALTA
[S.api]API REST diagnósticoD:4 A:5 I:5 C:3 T:5MUY ALTA
[S.int]Servicios internos (ML)D:3 A:4 I:5 C:4 T:4ALTA
[S.email]NotificacionesD:2 A:3 I:3 C:3 T:3MEDIA

[SW] Software / Aplicaciones:

CódigoAplicaciónValoración DAICTCriticidad
[SW.app]Aplicación diagnósticoD:4 A:5 I:5 C:3 T:5MUY ALTA
[SW.os]Sistema operativoD:4 A:4 I:4 C:3 T:4ALTA
[SW.av]Antivirus/EDRD:3 A:4 I:4 C:2 T:4ALTA
[SW.db]SGBD PostgreSQLD:4 A:4 I:5 C:4 T:4MUY ALTA

[HW] Equipamiento:

CódigoHardwareValoración DAICTCriticidad
[HW.srv]Servidores AWS EC2D:4 A:4 I:4 C:3 T:4ALTA
[HW.st]Almacenamiento S3D:4 A:4 I:5 C:4 T:4MUY ALTA
[HW.net]Infraestructura redD:4 A:4 I:4 C:3 T:3ALTA

[P] Personal:

CódigoPersonalValoración DAICTCriticidad
[P.adm]Administradores sistemaD:5 A:5 I:5 C:5 T:5MUY ALTA
[P.op]OperadoresD:3 A:4 I:4 C:3 T:4ALTA
[P.dev]DesarrolladoresD:3 A:4 I:5 C:4 T:4ALTA
[P.usr]Usuarios médicosD:2 A:3 I:3 C:3 T:3MEDIA

Identificación de Amenazas (MAGERIT Libro II - Catálogo)​

Aplicando el catálogo de amenazas MAGERIT v3:

[N] Desastres Naturales:

CódigoAmenazaProbabilidadImpacto DAICT
[N.1]FuegoMuy BajaD:5 A:- I:5 C:- T:5
[N.2]Daños por aguaBajaD:4 A:- I:4 C:- T:4
[N.*]Desastres naturalesMuy BajaD:5 A:- I:5 C:- T:5

[I] De Origen Industrial:

CódigoAmenazaProbabilidadImpacto DAICT
[I.1]FuegoBajaD:5 A:- I:5 C:- T:5
[I.2]Daños por aguaBajaD:4 A:- I:4 C:- T:4
[I.8]Fallo servicios comunicacionesMediaD:4 A:- I:- C:- T:3
[I.9]Interrupción otros serviciosMediaD:3 A:- I:- C:- T:2

[E] Errores y Fallos No Intencionados:

CódigoAmenazaProbabilidadImpacto DAICT
[E.1]Errores de usuariosAltaD:2 A:3 I:3 C:2 T:3
[E.2]Errores del administradorMediaD:4 A:4 I:4 C:3 T:4
[E.15]Alteración de informaciónMediaD:- A:4 I:5 C:- T:4
[E.18]Destrucción de informaciónBajaD:5 A:- I:5 C:- T:5
[E.19]Divulgación de informaciónMediaD:- A:- I:- C:5 T:3
[E.23]Errores de mantenimientoBajaD:3 A:3 I:3 C:2 T:3
[E.24]Caída del sistema por agotamientoMediaD:4 A:- I:- C:- T:2

[A] Ataques Intencionados:

CódigoAmenazaProbabilidadImpacto DAICT
[A.5]Suplantación identidadAltaD:- A:5 I:4 C:4 T:5
[A.6]Abuso de privilegiosMediaD:3 A:4 I:4 C:5 T:4
[A.7]Uso no previstoMediaD:2 A:3 I:3 C:3 T:3
[A.8]Difusión software dañinoAltaD:4 A:3 I:4 C:4 T:3
[A.11]Acceso no autorizadoAltaD:- A:5 I:3 C:5 T:5
[A.13]RepudioMediaD:- A:5 I:- C:- T:5
[A.15]Modificación de informaciónMediaD:- A:4 I:5 C:- T:4
[A.18]Destrucción de informaciónBajaD:5 A:- I:5 C:- T:5
[A.19]Divulgación de informaciónAltaD:- A:- I:- C:5 T:3
[A.24]Denegación de servicioAltaD:5 A:- I:- C:- T:2
[A.25]RoboBajaD:4 A:- I:- C:4 T:-
[A.26]Ataque destructivoMuy BajaD:5 A:- I:5 C:- T:5

Mapeo STRIDE-MAGERIT:

  • Spoofing → [A.5] Suplantación, [A.11] Acceso no autorizado
  • Tampering → [A.15] Modificación, [E.15] Alteración
  • Repudiation → [A.13] Repudio
  • Information Disclosure → [A.19] Divulgación, [E.19] Divulgación
  • Denial of Service → [A.24] DoS, [E.24] Agotamiento
  • Elevation of Privilege → [A.6] Abuso privilegios

Evaluación de Riesgos según MAGERIT v3​

Cálculo del Riesgo (MAGERIT Libro I - Método)​

El riesgo se calcula como: Riesgo = Impacto × Probabilidad

Escala de Impacto MAGERIT (por dimensión DAICT):

NivelValorDescripciónImpacto Operacional
MAMuy Alto (10)Daño extremadamente graveParalización del servicio > 1 mes
AAlto (7-9)Daño graveInterrupción grave del servicio
MMedio (4-6)Daño importanteMerma significativa del servicio
BBajo (1-3)Daño menorMerma apreciable del servicio
MBMuy Bajo (0)IrrelevanteSin impacto apreciable

Escala de Probabilidad MAGERIT:

NivelValorDescripciónFrecuencia Estimada
MAMuy Alta (100)Casi seguroVarias veces al día
AAlta (10)Muy probableUna vez cada pocos días
MMedia (1)ProbableUna vez cada pocos meses
BBaja (0.1)Poco probableUna vez cada pocos años
MBMuy Baja (0.01)Muy improbableSiglos
Matriz de Riesgo ENS-MAGERIT​
Impacto \ ProbabilidadMB (0.01)B (0.1)M (1)A (10)MA (100)
MA (10)BajoMedioAltoMuy AltoCrítico
A (7-9)Muy BajoBajoMedioAltoMuy Alto
M (4-6)Muy BajoBajoMedioAltoAlto
B (1-3)Muy BajoMuy BajoBajoMedioMedio
MB (0)Muy BajoMuy BajoMuy BajoBajoBajo
Zonas de Riesgo y Tratamiento (RD 311/2022)​
ZonaNivel de RiesgoValorAcción Requerida
ZONA 1Muy Bajo[0-2]Asumir el riesgo ✅
ZONA 2Bajo[2-10]Monitorizar ⚠️
ZONA 3Medio[10-50]Plan de tratamiento obligatorio ⚠️
ZONA 4Alto[50-100]Acción inmediata requerida 🔴
ZONA 5Crítico[>100]Inaceptable - Detener operación ⛔️

Salvaguardas y Controles de Seguridad (Anexo II RD 311/2022)​

Medidas de Seguridad por Categoría ENS​

Conforme al Anexo II del RD 311/2022, para CATEGORÍA MEDIA con dimensiones ALTAS:

[org] Marco Organizativo:

MedidaDescripciónNivelEstadoEvidencia
org.1Política de seguridadMEDIO✅ ImplementadoGP-110
org.2Normativa de seguridadMEDIO✅ ImplementadoNormativas internas
org.3Procedimientos operativosMEDIO✅ ImplementadoGP-024, GP-013
org.4Proceso de autorizaciónMEDIO✅ ImplementadoMatriz RACI

[op.pl] Planificación:

MedidaDescripciónNivelEstadoEvidencia
op.pl.1Análisis de riesgosMEDIO✅ ImplementadoR-TF-013-002, PILAR
op.pl.2Arquitectura de seguridadMEDIO✅ ImplementadoT-024-009
op.pl.3Adquisición nuevos componentesMEDIO✅ ImplementadoProceso SOUP
op.pl.4Dimensionamiento/gestión capacidadBÁSICO✅ ImplementadoAWS Auto-scaling
op.pl.5Componentes certificadosALTO⚠️ ParcialCertificaciones pendientes

[op.acc] Control de Acceso:

MedidaDescripciónNivelEstadoEvidencia
op.acc.1IdentificaciónMEDIO✅ ImplementadoOAuth 2.0/OIDC
op.acc.2Requisitos de accesoMEDIO✅ ImplementadoRBAC definido
op.acc.3Segregación funcionesMEDIO✅ ImplementadoRoles segregados
op.acc.4Gestión derechos accesoMEDIO✅ ImplementadoIAM AWS
op.acc.5Mecanismo autenticaciónALTO✅ ImplementadoMFA obligatorio
op.acc.6Acceso localALTO✅ ImplementadoConsola AWS MFA
op.acc.7Acceso remotoALTO✅ ImplementadoVPN + MFA

[op.exp] Explotación:

MedidaDescripciónNivelEstadoEvidencia
op.exp.1Inventario activosBÁSICO✅ ImplementadoAWS Config
op.exp.2Configuración seguridadMEDIO✅ ImplementadoBaselines CIS
op.exp.3Gestión configuraciónMEDIO✅ ImplementadoTerraform/IaC
op.exp.4MantenimientoMEDIO✅ ImplementadoPlan mantenimiento
op.exp.5Gestión cambiosMEDIO✅ ImplementadoGP-005
op.exp.6Protección código dañinoMEDIO✅ ImplementadoEDR/Antimalware
op.exp.7Gestión incidentesMEDIO✅ ImplementadoT-024-008
op.exp.8Registro actividad usuariosALTO✅ ImplementadoCloudWatch Logs
op.exp.9Registro gestión incidentesALTO✅ ImplementadoSIEM
op.exp.10Protección registrosALTO✅ ImplementadoLogs inmutables
op.exp.11Protección claves criptográficasALTO✅ ImplementadoAWS KMS

Salvaguardas MAGERIT v3​

Tipos de Salvaguardas:

TipoCódigoDescripciónEjemplos Implementados
Preventivas[PR]Reducen probabilidadAutenticación MFA, Firewall WAF
Detectivas[DR]Detectan materializaciónSIEM, IDS/IPS, Monitorización
Correctivas[CR]Limitan propagaciónSegmentación red, Aislamiento
Recuperativas[RC]Restablecen servicioBackup, DRP, BCP
Disuasorias[DC]Disuaden atacantesAvisos legales, Honeypots

Gestión del Riesgo Residual según ENS​

Evaluación del Riesgo Residual (CCN-STIC 806)​

Estado Actual del Riesgo tras Salvaguardas:

Categoría AmenazaRiesgo IntrínsecoEficacia SalvaguardasRiesgo ResidualEstado
[N] NaturalesMedio (30)90%Muy Bajo (3)✅ Aceptable
[I] IndustrialesMedio (40)85%Bajo (6)✅ Aceptable
[E] ErroresAlto (60)75%Medio (15)⚠️ Monitorizar
[A] AtaquesMuy Alto (80)80%Medio (16)⚠️ Plan acción

Distribución por Dimensiones DAICT:

DimensiónRiesgo InicialSalvaguardasRiesgo ResidualNivel Aceptable
[D] DisponibilidadAlto (70)85%Bajo (10.5)Sí (≤15)
[A] AutenticidadMuy Alto (90)90%Bajo (9)Sí (≤10)
[I] IntegridadMuy Alto (95)92%Bajo (7.6)Sí (≤10)
[C] ConfidencialidadAlto (75)88%Bajo (9)Sí (≤15)
[T] TrazabilidadAlto (80)95%Muy Bajo (4)Sí (≤10)

Declaración de Aplicabilidad y Aceptación (RD 311/2022, Art. 27)​

Documento de Aceptación Formal:

  • Informe de Riesgo Residual: Documento T-110-004
  • Responsable de la Información: Director Médico - Acepta riesgo clínico
  • Responsable del Servicio: CTO - Acepta riesgo operacional
  • Responsable de Seguridad: CISO - Valida controles técnicos
  • Alta Dirección: CEO - Aprobación final y asunción de responsabilidad

Criterios de Aceptación:

  • Riesgo residual en ZONA 1-2 (Muy Bajo-Bajo): Aceptación automática
  • Riesgo residual en ZONA 3 (Medio): Requiere plan de mejora continua
  • Riesgo residual en ZONA 4-5 (Alto-Crítico): No aceptable

Procedimiento de Análisis de Riesgos según CCN-STIC 806​

Fases del Análisis (MAGERIT v3 + ENS)​

FASE 1: Establecimiento del Contexto

  1. Definición del alcance del sistema
  2. Identificación de la misión y objetivos
  3. Marco normativo aplicable (ENS, MDR, RGPD)
  4. Identificación de restricciones
  5. Estimación de recursos disponibles

FASE 2: Análisis de Activos (CCN-STIC 803)

  1. Inventario de activos según tipología MAGERIT
  2. Identificación de dependencias entre activos
  3. Valoración DAICT (escala 0-10)
  4. Determinación de activos esenciales
  5. Documentación en herramienta PILAR

FASE 3: Análisis de Amenazas

  1. Aplicación catálogo amenazas MAGERIT v3
  2. Análisis específico sector sanitario
  3. Inteligencia de amenazas (CCN-CERT)
  4. Estimación de frecuencia/probabilidad
  5. Análisis de tendencias y evolución

FASE 4: Identificación de Salvaguardas

  1. Inventario salvaguardas existentes
  2. Evaluación madurez (1-5)
  3. Análisis de eficacia (%)
  4. Identificación de gaps
  5. Propuesta de mejoras

FASE 5: Estimación del Riesgo

  1. Cálculo riesgo intrínseco (sin salvaguardas)
  2. Aplicación de salvaguardas
  3. Cálculo riesgo residual
  4. Análisis por dimensiones DAICT
  5. Generación mapa de calor

FASE 6: Plan de Tratamiento

  1. Opciones de tratamiento (eliminar, mitigar, transferir, aceptar)
  2. Selección de controles adicionales
  3. Análisis coste-beneficio
  4. Cronograma de implementación
  5. Asignación de responsables

Periodicidad y Mantenimiento (RD 311/2022, Art. 7.3)​

Revisiones Programadas:

TipoFrecuenciaAlcanceResponsable
ContinuaDiariaIndicadores automáticosSOC
TácticaMensualKPIs y métricasCISO
OperativaTrimestralAmenazas emergentesSecurity Team
EstratégicaSemestralControles y salvaguardasRisk Manager
CompletaAnualAnálisis integral MAGERITCISO + Auditoría

Eventos que Requieren Reanalisis Inmediato:

  • Incidente de seguridad con impacto ≥ MEDIO
  • Vulnerabilidad crítica (CVSS ≥ 9.0)
  • Cambio significativo en arquitectura
  • Nueva regulación aplicable
  • Integración con sistemas externos
  • Cambio en categorización ENS
  • Modificación del modelo de amenazas

Herramientas y Recursos CCN-STIC​

Herramientas Oficiales CCN​

Análisis de Riesgos:

  • PILAR v8.3: Herramienta completa MAGERIT (licencia oficial)
  • PILAR Basic: Versión simplificada para PYMES
  • µPILAR: Micro análisis para sistemas simples
  • ITS (INES Tool Suite): Análisis cualitativo ENS

Cumplimiento y Auditoría:

  • CLARA: Auditoría de cumplimiento ENS
  • DELFOS: Dashboard de gobierno ENS
  • ANA: Analizador de configuraciones
  • ROCIO: Borrado seguro de información

Gestión de Vulnerabilidades:

  • CARMEN: Cartografía de recursos
  • GLORIA: Gestión de vulnerabilidades
  • LUCIA: Auditoría de seguridad web
  • AMPARO: Análisis de malware

Recursos de Inteligencia de Amenazas​

Fuentes Nacionales:

FuenteTipoURLUso
CCN-CERTAlertas y avisosccn-cert.cni.esDiario
CCN-CERT IRISGestión incidentesiris.ccn-cert.cni.esIncidentes
INCIBE-CERTSector privadoincibe-cert.esSemanal
ESPDEF-CERTDefensacert.defensa.gob.esMensual

Fuentes Internacionales Sanitarias:

FuenteTipoRelevancia
FDA MAUDEEventos adversos MDRAlta
H-ISACHealth Information SharingAlta
ENISAAgencia EU CiberseguridadMedia
CISAAlertas USAMedia

Plantillas y Documentación​

Plantillas CCN-STIC:

  • Plantilla Análisis de Riesgos (CCN-STIC 806 Anexo A)
  • Declaración de Aplicabilidad (CCN-STIC 806 Anexo B)
  • Plan de Tratamiento de Riesgos (CCN-STIC 806 Anexo C)
  • Informe de Estado de Seguridad (CCN-STIC 824)

Responsabilidades según ENS (RD 311/2022)​

Roles ENS Obligatorios​

Estructura de Responsabilidades (Art. 10-12 RD 311/2022):

Rol ENSResponsable AsignadoFunciones Principales
Responsable de la InformaciónDirector Médico- Establecer requisitos de seguridad
- Decidir sobre los niveles de seguridad
- Aceptar riesgo residual información
Responsable del ServicioCTO- Establecer requisitos de disponibilidad
- Determinar niveles de servicio
- Aceptar riesgo residual servicio
Responsable de SeguridadCISO- Mantener la seguridad de la información
- Promover formación y concienciación
- Coordinar análisis de riesgos
Responsable del SistemaHead of Infrastructure- Desarrollar, operar y mantener el sistema
- Definir arquitectura de seguridad
- Implementar controles técnicos

Matriz RACI - Análisis de Riesgos​

ActividadR. InformaciónR. ServicioR. SeguridadR. SistemaComité Seguridad
Categorización sistemaACRII
Valoración activosRCACI
Identificación amenazasCCRAI
Evaluación riesgosCCRAI
Selección salvaguardasCCRAI
Plan tratamientoAARCI
Aceptación riesgo residualAARIC
Auditoría cumplimientoIIACR

R: Responsable, A: Aprueba, C: Consultado, I: Informado

Comité de Seguridad ENS​

Composición:

  • Presidente: CEO
  • Secretario: CISO
  • Vocales: CTO, Director Médico, Legal, DPO

Funciones (CCN-STIC 801):

  • Aprobar la Política de Seguridad
  • Supervisar el estado de seguridad
  • Promover mejoras en gestión de riesgos
  • Coordinar respuesta a incidentes graves
  • Aprobar planes de auditoría

Reuniones:

  • Ordinarias: Trimestrales
  • Extraordinarias: Ante incidentes graves
  • Quórum: 50% + Presidente o delegado

Métricas e Indicadores según CCN-STIC 815​

Indicadores ENS Obligatorios​

Indicadores de Proceso (RD 311/2022, Art. 35):

IDIndicadorFórmulaMetaFrecuenciaEstado Actual
ENS-01Cobertura análisis riesgos(Activos analizados/Total activos)×100100%Trimestral98% ✅
ENS-02Riesgos críticos sin tratarNº riesgos ZONA 4-5 abiertos0Diaria0 ✅
ENS-03Eficacia salvaguardas(Riesgo inicial-Riesgo residual)/Riesgo inicial×100>80%Mensual85% ✅
ENS-04Actualización análisisDías desde última revisión<90Continua45 ✅
ENS-05Cumplimiento controles ENS(Controles conformes/Total controles)×100>95%Mensual92% ⚠️

Indicadores de Resultado:

IDIndicadorFórmulaMetaFrecuenciaEstado Actual
ENS-06Incidentes por riesgos no identificadosNº incidentes fuera análisis<5%Mensual2% ✅
ENS-07Tiempo detección amenazasMTTD (Mean Time To Detect)<4hContinua2.5h ✅
ENS-08Tiempo respuesta incidentesMTTR (Mean Time To Respond)<8hContinua6h ✅
ENS-09Disponibilidad servicioUptime anual>99.9%Mensual99.95% ✅
ENS-10Pérdida datos por incidentesGB perdidos/año0Anual0 ✅

Modelo de Madurez ENS (CCN-STIC 821)​

NivelDescripciónCaracterísticasEstado
0 - InexistenteSin gestión de riesgosNo hay proceso formal❌
1 - InicialAd-hoc y reactivoAnálisis puntuales sin método❌
2 - ReproducibleProceso básico definidoMetodología documentada❌
3 - DefinidoProceso estándar integradoMAGERIT v3 implementado✅ Actual
4 - GestionadoMedición y controlKPIs y mejora basada en datos⚠️ Objetivo 2025
5 - OptimizadoMejora continuaPredictivo y proactivo📅 Objetivo 2026

Dashboard de Riesgos DAICT​

Estado por Dimensión:

[D] Disponibilidad:  ████████░░ 85% (Objetivo: 95%)
[A] Autenticidad:    █████████░ 90% (Objetivo: 95%)
[I] Integridad:      █████████░ 92% (Objetivo: 95%)
[C] Confidencialidad:████████░░ 88% (Objetivo: 95%)
[T] Trazabilidad:    ██████████ 95% (Objetivo: 95%)

Integración con el Sistema de Gestión​

Documentación del Sistema Integrado ENS-MDR​

Procedimientos ENS:

  • GP-110: Marco general ENS
  • T-110-001: Plan de implementación ENS
  • T-110-002: Guía implementación CCN-STIC
  • T-110-003: Matriz de cumplimiento ENS
  • T-110-004: Informe riesgo residual (pendiente)

Procedimientos MDR:

  • GP-005: Gestión de riesgos ISO 14971
  • GP-013: Ciberseguridad dispositivos médicos
  • GP-024: Gestión de incidentes

Registros Técnicos:

  • R-TF-013-002: Registro unificado de riesgos
  • T-024-006: Modelo de amenazas
  • T-024-007: Plan vigilancia post-comercialización
  • T-024-008: Plan respuesta incidentes
  • T-024-009: Arquitectura de seguridad

Puntos de Integración Proceso​

ProcesoInterfaz con Análisis de RiesgosFrecuencia
Gestión de CambiosEvaluación impacto DAICT en cada RFCPor cambio
Gestión IncidentesActualización probabilidades post-incidentePor incidente
Desarrollo ProductoSecurity/Privacy by Design en requisitosPor release
Auditoría InternaVerificación eficacia salvaguardasAnual
Vigilancia Post-MarketActualización amenazas emergentesTrimestral
Formación PersonalNecesidades según gaps identificadosSemestral

Cumplimiento Regulatorio Integrado​

Matriz de Cumplimiento Multi-Regulación​

RequisitoENS (RD 311/2022)MDR 2017/745ISO 14971ISO 27001Estado
Análisis de riesgosArt. 27, op.pl.1Anexo I, 18.1Cláusula 4-76.1.2, 8.2✅
Gestión vulnerabilidadesArt. 7, op.exp.6Anexo I, 17.27.1A.12.6✅
Plan tratamientoAnexo II, op.pl.1Anexo I, 4Cláusula 86.1.3, 8.3✅
Monitorización continuaArt. 7.2, op.monAnexo I, 18.59, 109.1⚠️
Revisión periódicaArt. 35Art. 83-8610.49.3✅
DocumentaciónArt. 33Anexo II3.5, 4.57.5✅

Certificaciones y Conformidad​

Certificaciones Actuales:

  • ISO 13485:2016 - Sistema Gestión Calidad Dispositivos Médicos
  • ISO 27001:2022 - Sistema Gestión Seguridad Información (en proceso)
  • Marcado CE Clase IIa - Dispositivo Médico Software

Conformidad Declarada:

  • ENS Categoría MEDIA - Autoevaluación conforme
  • RGPD - Evaluación de Impacto (EIPD) completada
  • NIS2 - Entidad no esencial, cumplimiento voluntario

Auditorías Planificadas:

  • Q2 2025: Auditoría ENS (CCN-STIC 808)
  • Q3 2025: Certificación ISO 27001
  • Q4 2025: Renovación MDR

Anexos​

Anexo A: Plantilla Análisis de Riesgos MAGERIT-ENS​

# Identificación del Riesgo
riesgo_id: "ENS-R-XXX"
fecha_identificacion: "YYYY-MM-DD"
version: "1.0"

# Activo Afectado (según catálogo MAGERIT)
activo:
  codigo: "[D.vr]" # Ej: [D.vr], [S.api], [SW.app]
  nombre: "Nombre del activo"
  tipo: "Datos/Servicio/Software/Hardware/Personal"
  propietario: "Responsable del activo"

# Valoración DAICT del Activo
valoracion_activo:
  disponibilidad: 1-10
  autenticidad: 1-10
  integridad: 1-10
  confidencialidad: 1-10
  trazabilidad: 1-10

# Amenaza (según catálogo MAGERIT)
amenaza:
  codigo: "[A.5]" # Ej: [A.5] Suplantación
  categoria: "Natural/Industrial/Error/Ataque"
  descripcion: "Descripción detallada"
  origen: "Interno/Externo"

# Evaluación del Riesgo
evaluacion:
  probabilidad_inicial: "MB/B/M/A/MA" # Muy Baja a Muy Alta
  impacto_inicial: "MB/B/M/A/MA"
  riesgo_intrínseco: 0-1000 # Probabilidad × Impacto

# Salvaguardas Aplicadas
salvaguardas:
  - codigo: "op.acc.5"
    tipo: "Preventiva/Detectiva/Correctiva/Recuperativa"
    descripcion: "MFA obligatorio"
    eficacia: 90 # Porcentaje

# Riesgo Residual
riesgo_residual:
  probabilidad_controlada: "MB/B/M/A/MA"
  impacto_controlado: "MB/B/M/A/MA"
  valor_residual: 0-100
  zona_riesgo: 1-5 # 1=Muy Bajo, 5=Crítico

# Plan de Tratamiento
tratamiento:
  estrategia: "Eliminar/Mitigar/Transferir/Aceptar"
  acciones_adicionales: []
  responsable: "CISO/CTO/etc"
  fecha_objetivo: "YYYY-MM-DD"

# Aprobaciones
aprobaciones:
  responsable_informacion: "Nombre - Fecha"
  responsable_servicio: "Nombre - Fecha"
  responsable_seguridad: "Nombre - Fecha"

Anexo B: Plantilla Informe Ejecutivo ENS​

# INFORME EJECUTIVO DE ANÁLISIS DE RIESGOS

## Sistema: Legit Health Plus

## Fecha: [FECHA]

## Clasificación: CONFIDENCIAL

### RESUMEN EJECUTIVO

- Categoría ENS: MEDIA
- Dimensiones ALTAS: Autenticidad, Integridad, Trazabilidad
- Riesgos identificados: XX
- Riesgos críticos: 0
- Cumplimiento ENS: XX%

### VALORACIÓN DAICT GLOBAL

| Dimensión            | Nivel | Justificación          |
| -------------------- | ----- | ---------------------- |
| [D] Disponibilidad   | MEDIO | RTO 4h, RPO 1h         |
| [A] Autenticidad     | ALTO  | Responsabilidad médica |
| [I] Integridad       | ALTO  | Precisión diagnóstica  |
| [C] Confidencialidad | MEDIO | Datos sanitarios       |
| [T] Trazabilidad     | ALTO  | Requisito MDR          |

### PRINCIPALES RIESGOS IDENTIFICADOS

[Tabla resumen top 10 riesgos]

### ESTADO DE SALVAGUARDAS

- Implementadas: XX%
- En proceso: XX%
- Planificadas: XX%

### RIESGO RESIDUAL ACEPTADO

[Declaración formal de aceptación]

### PLAN DE ACCIÓN

[Acciones prioritarias próximo periodo]

### FIRMAS

- Responsable Información: \***\*\_\_\_\*\***
- Responsable Servicio: \***\*\_\_\_\*\***
- Responsable Seguridad: \***\*\_\_\_\*\***
- Alta Dirección: \***\*\_\_\_\*\***

Anexo C: Checklist Auditoría CCN-STIC 808​

Verificación Análisis de Riesgos ENS:

  • Metodología MAGERIT v3 aplicada correctamente
  • Todos los activos esenciales identificados y valorados
  • Catálogo de amenazas MAGERIT completo aplicado
  • Dimensiones DAICT evaluadas para cada activo
  • Salvaguardas del Anexo II RD 311/2022 implementadas
  • Riesgo intrínseco calculado (sin salvaguardas)
  • Eficacia de salvaguardas medida objetivamente
  • Riesgo residual calculado y dentro de límites aceptables
  • Plan de tratamiento de riesgos documentado
  • Declaración de aplicabilidad firmada
  • Informe de riesgo residual aprobado por Dirección
  • Roles ENS asignados formalmente
  • Comité de Seguridad constituido y operativo
  • Análisis actualizado en últimos 12 meses
  • Herramienta PILAR con licencia válida
  • Integración con gestión de incidentes operativa
  • Métricas ENS (CCN-STIC 815) implementadas
  • Registro de cambios y versiones mantenido
  • Formación en MAGERIT del personal responsable
  • Documentación clasificada según ENS

Nota: Este procedimiento está alineado con:

  • Real Decreto 311/2022 (ENS)
  • Guías CCN-STIC serie 800
  • Metodología MAGERIT v3.0
  • ISO 14971:2019 (Dispositivos Médicos)
  • ISO/IEC 27005:2022 (Gestión Riesgos SI)

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
OP.PL Planificación
Next
OP.PL.2 Arquitectura de Seguridad
  • Documentos de referencia
    • Normativa y Regulación
    • Guías CCN-STIC Aplicables
    • Metodología MAGERIT v3
    • Normativa Internacional
  • Guía de implantación según CCN-STIC 806
    • Principios Fundamentales (RD 311/2022, Art. 7)
    • Metodología de Análisis (MAGERIT v3)
    • Requisitos Formales del Análisis
    • Integración con el Ciclo de Vida del Sistema
  • Implementación en Legit Health Plus
    • Metodología de Análisis de Riesgos según CCN-STIC 806
      • Marco de Gestión Integrado ENS-MDR
      • Dimensiones de Seguridad DAICT (RD 311/2022)
      • Categorización del Sistema (CCN-STIC 803)
    • Proceso de Análisis de Riesgos MAGERIT v3
      • Identificación y Valoración de Activos (MAGERIT Libro II)
      • Identificación de Amenazas (MAGERIT Libro II - Catálogo)
      • Evaluación de Riesgos según MAGERIT v3
        • Cálculo del Riesgo (MAGERIT Libro I - Método)
        • Matriz de Riesgo ENS-MAGERIT
        • Zonas de Riesgo y Tratamiento (RD 311/2022)
    • Salvaguardas y Controles de Seguridad (Anexo II RD 311/2022)
      • Medidas de Seguridad por Categoría ENS
      • Salvaguardas MAGERIT v3
    • Gestión del Riesgo Residual según ENS
      • Evaluación del Riesgo Residual (CCN-STIC 806)
      • Declaración de Aplicabilidad y Aceptación (RD 311/2022, Art. 27)
    • Procedimiento de Análisis de Riesgos según CCN-STIC 806
      • Fases del Análisis (MAGERIT v3 + ENS)
      • Periodicidad y Mantenimiento (RD 311/2022, Art. 7.3)
    • Herramientas y Recursos CCN-STIC
      • Herramientas Oficiales CCN
      • Recursos de Inteligencia de Amenazas
      • Plantillas y Documentación
    • Responsabilidades según ENS (RD 311/2022)
      • Roles ENS Obligatorios
      • Matriz RACI - Análisis de Riesgos
      • Comité de Seguridad ENS
    • Métricas e Indicadores según CCN-STIC 815
      • Indicadores ENS Obligatorios
      • Modelo de Madurez ENS (CCN-STIC 821)
      • Dashboard de Riesgos DAICT
    • Integración con el Sistema de Gestión
      • Documentación del Sistema Integrado ENS-MDR
      • Puntos de Integración Proceso
    • Cumplimiento Regulatorio Integrado
      • Matriz de Cumplimiento Multi-Regulación
      • Certificaciones y Conformidad
    • Anexos
      • Anexo A: Plantilla Análisis de Riesgos MAGERIT-ENS
      • Anexo B: Plantilla Informe Ejecutivo ENS
      • Anexo C: Checklist Auditoría CCN-STIC 808
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)